论文部分内容阅读
人物介绍
王小菜:国家公务员,初级电脑用户,网络安全意识比较薄弱。
李大虾:某IT公司网络安全工程师,对系统及网络安全有非常深刻的认识。
NO1 不被入侵的秘密之入门篇
王小菜和李大虾是哥们兼邻居。某晚,王小菜打开电脑上了一会网之后,发现鼠标忽然不听使唤,好像要找什么东西似的,指针到处翻文件夹。小菜不知为何。是故,以一顿宵夜的代价请来了李大虾帮其解决问题。
王小菜:大虾,你看我这电脑是咋回事呢?为啥鼠标自己会到处乱点?
李大虾:不要说我鄙视你,你真是人如其名啊!有人在远程控制你的电脑,电脑变成“肉鸡”了都不懂!
王小菜:啊,“肉鸡”是什么?李大虾:看来啊,今天我得好好的给你上上课了。
(一)何谓“肉鸡”电脑?
所谓“肉鸡”电脑,简单地说就是被别人远程控制的电脑。当你的电脑被别人控制之后,就好像成了别人砧板上的肉,别人想怎么吃就怎么吃,肉鸡(机)一名由此而来。
一般来说,只要是中了木马,或者存在系统漏洞以及后门的,被攻击者利用并可以远程操控的电脑都属于“肉鸡”。
王小菜:我晕,谁这么无聊?控制我的电脑有啥用?电脑里面又没啥,他也搬不走,不还在我家里放着么。
李大虾:还好你电脑里面没啥艳照,要不你就陈冠希了!对于攻击者来说,“肉鸡”的价值可大了。
(二)“肉鸡”电脑有什么“商业价值”?
1盗窃“肉鸡”电脑的虚拟财产,比如网络游戏ID装备、QQ币等。
2盗窃“肉鸡”电脑里的真实财产,比如网上银行,一旦你的网银账号被盗,就可能为别人的消费买单。
3盗窃他人的隐私数据。陈冠希的“艳照门”事件,相信大家都知道,如果身份证、隐秘照片、个人档案被人发布在网上,或者伪装成你的身份进行各种不法活动,后果很严重。
4偷到受害人电脑上的商业信息,比如财务报表、人事档案和客户档案等,攻击者可以利用这些资讯谋取非法利益。
5在“肉鸡”电脑上种植流氓软件,自动点击广告获利。攻击者在控制大量肉鸡之后,可以通过强行弹出广告,从广告主那里收获广告费,这也是流氓软件泛滥的原因之一。
6以“肉鸡”电脑为跳板(代理服务器),对其他电脑发起攻击。黑客的任何攻击行为都可能留下痕迹,为了更好地隐藏自己,必然要经过多次代理的跳转,肉鸡电脑充当了中介和替罪羊。
7控制着大批“肉鸡”电脑的攻击者,他们会为了某个目的,对目标主机进行DDoS攻击从而获取利益,而“肉鸡”电脑是发起DDoS攻击的马前卒。
此外,在攻击者的圈子里,“肉鸡”电脑可以像白菜一样被买卖。在黑色产业链的高端,那些庞大的“肉鸡”电脑群的控者还可以构筑一个木马帝国,进行各种牟利活动。总之,“肉鸡”电脑是攻击者致富的源泉。
小知识:何谓DDoS
DDoS被称为分布式拒绝服务。如果你手里有许多完全归你控制的“肉鸡”电脑,它们的带宽加起来就是你的流量,你用这些流量去访问你想要吃掉的目标电脑,只要你的流量大于它,别人就无法访问这台电脑,就相当于你把它干掉,这就叫DDoS。
NO2 不被入侵的秘密之验“鸡”篇
王小菜:不听不知道,一听吓一跳!哥们,你是如何断定我的电脑成“肉鸡”的?
李大虾:看在宵夜的分上,我就免费给你介绍如何检查自己的电脑是否成为他人的“肉鸡”的。
(一)快速检查自己的电脑是不是“肉鸡”
相信谁也不希望自己的电脑赤裸裸地暴露在黑客面前。实际上,对于电脑水平一般的人而言,检查电脑是否是“肉鸡”并不是一件非常困难的事情,如果你发现电脑有如下的现象中的一个或几个,那么你的电脑十有八九已成了别人的“肉鸡”了。
实战:7个不正常系统现象要当心
现象1:有时会突然发现你的鼠标不听使唤,在你不动鼠标的时候,鼠标也会移动,并且还会点击有关按钮进行操作。这种鼠标的移动轨迹和性能与光电鼠标自动漂移明显不同。
现象2:电脑运行过程中或者开机的时候,弹出莫名其妙的对话框或者IE窗口,但很快就自动关闭了。
现象3:QQ、MSN的登录或信息异常。你在登录QQ时,系统提示上一次登录的IP和你完全不相干,比如你家明明在北京,但是QQ却提醒你上一次登录地点在广州(见图1)。当你登录MSN时,可能有朋友给你发消息,问你刚发了什么,你却很清楚自己从未给这个朋友发过什么消息。
图1
现象4:登录网络游戏后,发现装备丢失或者上次下线时的位置不符,甚至用正确的密码无法登录。很显然,你没有登录这个游戏的时候,别人替你登录过。
现象5:正常上网时,突然感觉很慢,硬盘灯在闪烁,就好像在不停地COPY文件一样。这种情况很可能是攻击者在尝试COPY你的文件,在大量COPY文件时,磁盘的读写明显会增加,系统也会变慢。此时,你应该毫不犹豫地拔掉网线,立即检查你的系统进程是否异常。
现象6:当你准备使用摄像头时,系统提示该设备正在使用中,这说明攻击者正在盗用你的摄像头。由于摄像头开始工作时系统是不会提示的,而且工作状态是不可见的,所以当你不用摄像头时,建议把镜头给盖上(笔记本电脑屏幕内置的)或者直接拔下来(USB外置的),攻击者就无机可乘了。
现象7:在你没有使用任何网络资源时,你发现网卡灯在不停地闪烁。当你在“网络连接”中双击“本地连接”查看其状态时,你会发现窗口中的“小电脑”在不停地闪,而且“已发送”的数据量增加很快。
王小菜:原来如此。大虾你就是根据我鼠标的异常断定我是被抓“鸡”的吧?
李大虾:基本上是吧,不过也不尽然,有时候必须用一些辅助工具来帮忙。你自己的系统里面就有,只是你没有好好利用罢了。
(二)找几个验“鸡”的好帮手
通过一些表面的现象判断是否被入侵,可能不是十分准确,但是实际上,不管攻击者以何种方式来控制“肉鸡”电脑,该电脑肯定是要与外界发生联系,通过某些端口给向外面发送数据,因此我们可以借助一些常用的软件来观察网络活动情况。
实战1:用防火墙揪出占用流量的黑手
通常,网络防火墙(比如天网、金山网镖、C.O.M.O.D.O等)都会有网络检测的功能,我们可以通过这些软件来查看网络流量和可疑的网络连接来确认“肉鸡”。笔者以“金山网镖”为例。
首先在安装有“金山网镖”系统上,双击系统托盘区中的软件图标,打开程序主窗口。然后在“安全状态”页面下,检查“当前网络活动状态”中的程序有没有陌生的程序,接着观察一下当前网络流量情况,如果“发送流量”增加很快,那么你就要小心了(见图2)。最后切换到“网络状态”页面,仔细查看相关连接,如果发现自己根本没有使用的软件在连接到远程计算机,那么你的电脑很可能就是中标了(见图3)。
图2
图3
小提示:
金山网镖通常包含在金山毒霸套装中,下载地址为http://www.duba.net/download/index.shtml。
实战2:谁开的后门?用TCPView一看就明!
通常情况下,远程入侵者会预先在“肉鸡”电脑上打开一些特定的端口,而这些端口则随时等待控制端连接或是主动连接到远程服务器。当然,只要我们把这些端口关闭,就可以拒绝入侵者的控制了,怎样才能查看PC当前打开的端口呢?
TCPView是一个查看端口和线程的小工具(下载地址为http://www.newhua.com/soft/16626.htm),它可以详细地列出系统打开的端口。在TCPView界面的列表中,一个图标就对应一个已经打开的端口,而且详细地显示本地和远程的连接情况。如果某个端口发生数据交换,TCPView会以醒目的颜色来提示。
有些打开端口的程序名称可能会与系统内的程序名称一样,但是不是系统的程序,双击你认为可疑的端口打开其属性,看一下占用了该端口的程序的“路径”是不是有问题。如果有问题,点击“结束进程”干掉它(见图4)。
图4
小提示:
★netstat命令只有在安装了TCP/IP协议后才可以使用;
★“状态”下对应的“LISTENING”表示端口是开放的,等待连接但还没有被连接的;而“ESTABLISHED”表示已建立连接的端口;“TIME_WAIT”表示该端口曾经被访问过,但访问结束了。
小知识:何谓端口?
所谓端口“PORT”,即电脑与外界通讯交流的出入口,如果把电脑在互联网上的IP地址比作门牌号,那么端口就相当于房门,家人通过这些门和外界沟通、联系。在网络中,根据TCP/IP协议规定,电脑可以有256×256(65536)个端口,每一个端口就好像一扇门,PC就是通过这些特定的“门”来和外界交流。
李大虾:这是有专门的软件来帮忙,如果手头上没有这些工具,还可以利用系统中自带的工具来帮忙。
王小菜:哦?说来听听!
实战3:借助系统自带DOS命令查看开放的端口(Windows 2000/XP/Vista/7)
在Windows系统中自带了一个“netstat”命令,它可以显示当前的TCP/IP网络连接。在“运行”中输入“cmd”,在打开的命令窗口中输入“netstat –an”,回车后就会在窗口内显示了当前系统所打开的端口及连接情况(见图5)。
图5
在没有任何网络行为的情况下,所有端口的状态应该是“LISTENING”,如果你发现有大量的端口处于“ESTABLISHED”状态,那么你最好用杀毒软件或其他安全工具检查一下系统。
实战4:巧用“资源监视器”找出硬盘狂闪的罪魁祸首(Windows Vista/7)
相信所有的人在使用系统的过程中,都碰到过硬盘狂闪但又不知道谁在作怪的事情,是杀毒软件、QQ,还是攻击者在读写你的硬盘呢?实际上,在Windows Vista和Windows 7系统中有一个“资源监测器”的工具,利用它就可以轻松找出硬盘狂闪的根源。笔者以Windows 7的“资源监视器”为例。
首先按下“Crtl+Shift+Esc”打开“资源管理器”,在“性能”页面下单击“资源监测器”,然后在弹出的“资源监测器”窗口中就可以查看CPU、内存、磁盘以及网络等硬件的资源使用情况了。如果你想知道哪个程序在疯狂地读写硬盘,那么就切换到“磁盘”页面看看各个进程的读取和写入的速度就知道了。
通常,如果你没有操作电脑,那么除了“System”和杀毒软件进程外,其他程序是不会经常读写硬盘的(见图6),如果你发现有莫名其妙的进程在读写的硬盘,很可能就是病毒或木马。
图6
小技巧:用资源监测器轻松找出入侵者的遗留文件
如果在“资源监测器”的“硬盘”项目中有可疑的进程,你可以勾选该进程,在“硬盘活动”项下就可以看到该进程到底在读写哪些文件了。如果该进程是病毒或木马,你就可以轻松地找出它写入的文件并将其删除。
(三)判断进程是否安全
进程指的是程序在内存中的一次运行。当Windows系统启动后,就会有30~40个(XP稍微少一些,而Vista和Win7则多一些)的进程在内存中运行着,而这些进程可能包括系统服务、应用程序、恶意程序以及木马控制程序等。
实战1:用好系统管理进程的利器
察看系统正在运行的进程的方法有很多,使用Windows自带的“任务管理器”是最简单也是最方便的:同时按下“Ctrl+Shift+Esc”就可以打开“任务管理器”了。点击“进程”标签即可察看到正在运行的进程列表了(见图7)。
图7
一般情况下,进程是否有问题有两个基本原则:一是仔细检查进程的文件名;二是检查其路径。由于系统启动后,常见的进程是相对固定的,有问题的进程很多时候会伪装成系统进程(命名上与系统进程一样或者相似),这时通过文件路径来判断。
网络大补贴:
很多时候,判断进程是否有问题主要是靠经验,经验较少的朋友可以借助搜索引擎或者相关的知识库来判断,比如:
进程知识库:http://file.52hardware.com
系统进程信息库:http://www.dllexe.com
实战2:找个管理进程的好帮手
系统内置的“任务管理器”功能相对比较简单,有时候它可能发现不了一些刻意隐藏了的进程,因此我们可以使用一些专业的进程管理工具,例如Process Explorer(下载地址为http://www.onlinedown.net/soft/31805.htm#)。
Process Explorer可以将系统的进程分为系统进程和一般进程两个大类来管理,并且以不同的颜色进行区分。其中,而svchost.exe、winlogon.exe、spoolsv.exe等都属于系统进程,以“SYSTEM”、“LOCANL SERVIVE”以及“NETWORK SERVICE”等权限更高的用户来运行;“explorer.exe”下属的进程属于一般进程,以当前登录的用户名来运行,如果你在“explorer.exe”中发现了svchost.exe,那么不用说,肯定是病毒或木马冒充的。
小提示:
在默认状态下,Process Explorer并不显示进程的用户名,在软件界面中依次选择“查看→选择列”,在打开的对话框中勾选“用户名”(见图8),即可显示进程所属的用户名了。
图8
实战3:给进程和DLL文件来一个“安全认证”
由于可以通过进程来判断系统是否存在安全问题,因此有些杀毒软件特别针对此设计了“安全认证”功能,如果真在运行的进程有问题,软件会将其标示出来,甚至可以帮你将可疑的进程找出来。笔者以“金山毒霸2009”为例。
首先,打开“金山毒霸2009”主窗口,在“安全百宝箱”页面中单击“进程管理器”工具(或者在系统任务栏上右键,选择“金山毒霸进程管理器”)。进入“进程管理器”界面,它可以像系统的“任务管理器”一样查看当前系统进程的信息。
但与系统自带的管理器相比,“进程管理器”对所有的进程进行了“可信认证”,用户可以很方便简单地发现是否有可疑的进程存在。如果发现有问题的进程,单击“找出存在风险的进程”按钮,“进程管理器”就会帮你将可疑的进程找出来,勾选该进程后单击“结束进程”即可。
另外,进程通常都不是孤立的,会加载许多DLL文件,如果你想看看有没有可疑的DLL文件,勾选“显示加载到进程中的DLL”,如果可疑则在其上右键,在弹出菜单中选择“定位文件”即可找到该DLL文件(见图9),然后将其删除即可。
图9
NO3 不被入侵的秘密之防范篇
李大虾:哥们,说了这么多,口都干了,有没有可乐什么的喝喝?
王小菜:有!我去给你拿。
……
王小菜:给!刚才说的那些只是如何确诊是不是“肉鸡”,我想知道的重点是,怎么防止被别人抓“鸡”!
李大虾:实际上啊,防止水平不是很高的攻击者,避免电脑成为别人的“肉鸡”,其实是比较简单的,关键在于你有防范“肉鸡”的意识。
攻击者要登录远程的“肉鸡”电脑必须知道三个参数:远程电脑的IP、用户名和密码。因此,攻击者会想方设法地取得目标电脑的控制权,通常采取的手段有两种:一是让目标感染病毒或木马,二是端口或漏洞扫描。
相对而言,第一种手段比较简单,但攻击者比较被动;后一种手段则是主动出击。也就是说,电脑没有感染病毒,也可能成为“肉鸡”。因此,如果你不想让你的电脑变成别人的“肉鸡”,那么请记住以下几个要点:
要点1:安装杀毒软件,随时检查其是否正常工作,并及时更新病毒库。
不管是植入木马还是让目标感染病毒,这些是入侵者最为常用的入侵手段,因此杀毒软件必不可少的,也是最基本的防护要求。当然,杀毒软件并不是万能的,但是它可以降低成为“肉鸡”的风险。
事实上,入侵者是非常痛恨杀毒软件的,许多木马或病毒入侵成功后,首先会去破坏杀毒软件,因此你还得随时检查杀毒软件是否正常工作,能不能正常升级等。另外,病毒和木马是会随时更新换代的,及时更新病毒库也非常重要的。
要点提示:
杀毒软件有很多中选择,国内的比如金山毒霸和瑞星,国外的比如诺顿、卡巴斯基、McAfee等。但不管哪一款杀毒软件都不是万能的,都存在优点和缺点。如何选择杀毒软件,要根据自己的喜好,只要你觉得好用方便就是好软件。
要点2:安装网络防火墙,并确保其正常工作。
对于互联网用户来说,网络防火墙是隔离你和外界的一道关口,正确启用和配置防火墙,将会使你减少很多直接面对攻击的机会。在你的系统存在未修补的漏洞时,网络防火墙可能是你的电脑安全的唯一保护软件。
这里需要提醒的是,由于Windows自带的防火墙功能相对单一,在没有进行相关设置之前,它只能拦截由外到内(即由互联网到本机)的通讯,并不能很好地阻止由内向外的访问,大部分木马或控制软件都可以轻易地逃避Windows自带防火墙的监控,因此安装一款第三方防火墙是非常有必要的。
要点提示:
实际上,这里所指的都是软件防火墙,而不是硬件防火墙。软件防火墙有很多种,要根据网络环境的不同选择不同的产品。不过不管怎样,笔者不建议使用功能过于单一的产品,要尽量选择一些功能完善的防火墙。
所谓功能完善,指的是除了具备对外网和局域网的访问行为的监控能力外,可以对一些危险系统行为进行监控,比如修改系统设置、修改或删除系统文件、修改注册表等。另外,许多第三方的防火墙都会自动关闭无用端口,这样可以防止别人扫描。
实战1:斩断局域网无故断网的黑手
目前,带有ARP欺骗功能的木马或病毒很多,如果局域网中某台电脑中了这种病毒,只要该电脑开机就会向网关发出大量的数据包,从而导致局域网通讯堵塞而断网。对于这种欺骗攻击,普通的防火墙是没有办法监控的,这时候需要专门的ARP防火墙对网关进行保护。
具有APR防火墙的安全软件有很多,比如金山毒霸ARP防火墙、360安全卫士等。笔者以360安全卫士为例(下载地址:http://down.360safe.com/setup.exe),对网关进行防欺骗保护可以这样设置:
打开360安全卫士的主界面,点击“实时保护”,在打开的页面中将“实时保护”标签下的“ARP防火墙”设置为“开启”。重启系统后,360安全卫士的“ARP防火墙”功能就可以运行了。这时你打开“360实时保护”的“高级设置→ARP防火墙”选项页面,在“网关及DNS保护设置”中勾选“手动设置”,然后点击“添加保护网关IP/MAC”,在弹出的界面中点击“添加网关”,输入你所在的局域网的网关IP地址后,单击“自动获取”后,再单击“确定”就可以完成设置了(见图10)。
图10
网络大补贴:关于ARP欺骗和ARP病毒的知识,可以参考:
ARP百科:http://baike.baidu.com/view/32698.htm
ARP病毒百科:http://baike.baidu.com/view/726493.htm
实战2:用金山网镖关闭3389端口方便又简单
因为3389端口属于Windows远程桌面功能的初始端口,是为了方便远程管理自己的计算机而设定的,只要3389端口开启,它就可以为任何有管理密码的人提供服务。由于这个端口属于系统服务,绝大部分攻击者都喜欢在“肉鸡”打开这一端口。为防止别人利用3389端口,我们应该用防火墙把它屏蔽掉。
这里以“金山网镖2009为”例。打开金山网镖的主界面,依次选择“工具→综合设置”,在打开的窗口中切换到“高级”项,然后在右侧勾选“启用TCP/UPD端口过滤”后,单击“添加”,然后将3389端口的远程操作设置为禁止就可以了。主要注意的是,根据协议的不同,彻底禁止需要添加两条规则(见图11)。
图11
要点3:及时修补系统和软件漏洞,提升系统安全性。
在Windows系统中,常被利用漏洞有两种:一是Windows系统漏洞,二是应用软件漏洞。由于应用软件漏洞的利用会受到较多的环境制约,风险通常较低;而Windows系统漏洞只要没有打上补丁,该漏洞就会一直存在,因此风险比较高。
要点提示:
一般情况下,漏洞在被正式公布之前,通常会被黑客利用很长时间,这就是通常说的0day攻击。因此,为了让系统能及时发现有新的Windows补丁,最好将系统“自动更新”功能打开。
另外,虽然第三方应用软件漏洞的风险较低,但是一些常用工具软件,比如Flashplayer、Realplayer、Adobe Reader、Photoshop、WinRAR、QQ、MSN、千千静听等,也可能被攻击者利用,因此时常更新软件的版本也是非常有必要的。
实战3:打补丁、软件更新,用360一网打尽
有时候给系统打补丁或更新软件可能会存在一些障碍,特别是非正版系统用户,或者对软件更新关注不多的朋友。针对这些情况,现在已经有很多能将这些问题打包解决的软件了,非常简单方便,比如360安全卫士。
在安装了360安全卫士的系统上打开软件的主界面,点击“修复系统漏洞”标签进入“360漏洞修复”页面,软件会自动扫描系统是否存在漏洞,如果存在它将根据重要的等级分类,选择你需要修复的漏洞之后,单击页面下方的“修复选中漏洞”按钮即可。与系统自动更新相比,用360安全卫士修复系统漏洞有两个好处,那就是下载速度会比较快,而且支持断点续传。
另外,如果系统中常用的软件存在安全漏洞,“360漏洞修复”也可以扫描到,并且还集成了软件的升级功能。在“360安全卫士”的主界面中点击“装机必备”,在打开的“360软件管理”界面中切换到“软件升级”界面,选择你需要升级的软件,点击“升级”按钮,待下载完成后,点击下方的“安装”即可(见图12)。
图12
要点4:盗版系统存在风险,安装后要对其进行安全改造。
对于如蕃茄花园、雨木林风、龙卷风、深度技术等第三方个人或论坛改造的Windows XP,通常都是采用无人值守的方式来安装,虽然安装步骤非常简单,但是系统会存在一个致命的缺陷——管理员口令是空的,并且自动登录。也就是说,任何人都可以尝试用空口令登录你的系统。
要点提示:
既然知道了问题的所在,应对的方法就很简单了。依次打开“控制面板→用户账户”,在弹出的窗口中选中“Administrator”,点选“创建密码”后输入你的密码即可。建议密码使用字母和其他特殊字符的组合,长度不低于8位。
另外,如果你不希望攻击者知道的管理员账户,你还将“Administrator”改为其他账户,在开始菜单的“运行”中输入“lusrmgr.msc”打开“本地用户和组”,在右侧窗口的“Administrator”上右键,选择“重命名”并输入一个只有你自己才知道的账户(见图13)。
图13
要点5:一定要小心使用移动存储设备
现在,公众越来越频繁的使用移动存储设备(移动硬盘、U盘、数码存储卡)传递文件,于是移动存储设备就成为木马或病毒传播的重要通道,比如臭名昭著的“熊猫烧香”、“U盘寄生虫”和“磁碟机”等都是属于此类。
要点提示:
由于Windows系统在默认状态下会自动运行移动存储设备,只要插入有毒此类设备,病毒就可以感染该电脑上。对于这种被攻击的行为,最简单的做法是在插设备时后按住Shift键不松即可。不过,最好就是禁用系统的自动播放功能。以Vista系统为例,设置方法为:
依次点击“开始→运行”,输入“gpedit.msc”打开组策略编辑器,依次定位到“计算机配置→管理模板→Windows组建→自动播放策略”,在右侧窗口中双击“关闭自动播放”项目的属性并将其设置为“已启用”,并将下方的关闭对象设置为“所有驱动器”(见图14),确认设置并退出组策略编辑器,重启系统后就自动播放功能就关闭了。
图14
另外,你还可以下载一个专门的U盘病毒免疫器(下载地址http://www.onlinedown.net/soft/74892.htm),彻底将U盘病毒拒之门外。
要点6:网页挂马很流行,浏览器要做好防护!
浏览不安全的网站成为“肉鸡”很重要的原因之一。区分什么网站安全,什么网站不安全,这对普通用户来说,是很困难的。事实上,任何一个缺少安全管理的网站都可能被黑客入侵后植入木马或病毒。因此只要浏览网页,谁都无法避免网页没有木马或者病毒,我们能做的只有尽可能地降低这种风险。
要点提示:
降低浏览网页的风险有很多方法,比如安装并启用可以监控网页木马的杀毒软件(几乎所有的杀毒软件都具备此功能),尽可能使用具有拦截功能的第三方浏览器(比如遨游、GreenBrowser、世界之窗等),而且尽量避免浏览一些灰色站点,比如色情类网站、赌博类网站等。
王小菜:国家公务员,初级电脑用户,网络安全意识比较薄弱。
李大虾:某IT公司网络安全工程师,对系统及网络安全有非常深刻的认识。
NO1 不被入侵的秘密之入门篇
王小菜和李大虾是哥们兼邻居。某晚,王小菜打开电脑上了一会网之后,发现鼠标忽然不听使唤,好像要找什么东西似的,指针到处翻文件夹。小菜不知为何。是故,以一顿宵夜的代价请来了李大虾帮其解决问题。
王小菜:大虾,你看我这电脑是咋回事呢?为啥鼠标自己会到处乱点?
李大虾:不要说我鄙视你,你真是人如其名啊!有人在远程控制你的电脑,电脑变成“肉鸡”了都不懂!
王小菜:啊,“肉鸡”是什么?李大虾:看来啊,今天我得好好的给你上上课了。
(一)何谓“肉鸡”电脑?
所谓“肉鸡”电脑,简单地说就是被别人远程控制的电脑。当你的电脑被别人控制之后,就好像成了别人砧板上的肉,别人想怎么吃就怎么吃,肉鸡(机)一名由此而来。
一般来说,只要是中了木马,或者存在系统漏洞以及后门的,被攻击者利用并可以远程操控的电脑都属于“肉鸡”。
王小菜:我晕,谁这么无聊?控制我的电脑有啥用?电脑里面又没啥,他也搬不走,不还在我家里放着么。
李大虾:还好你电脑里面没啥艳照,要不你就陈冠希了!对于攻击者来说,“肉鸡”的价值可大了。
(二)“肉鸡”电脑有什么“商业价值”?
1盗窃“肉鸡”电脑的虚拟财产,比如网络游戏ID装备、QQ币等。
2盗窃“肉鸡”电脑里的真实财产,比如网上银行,一旦你的网银账号被盗,就可能为别人的消费买单。
3盗窃他人的隐私数据。陈冠希的“艳照门”事件,相信大家都知道,如果身份证、隐秘照片、个人档案被人发布在网上,或者伪装成你的身份进行各种不法活动,后果很严重。
4偷到受害人电脑上的商业信息,比如财务报表、人事档案和客户档案等,攻击者可以利用这些资讯谋取非法利益。
5在“肉鸡”电脑上种植流氓软件,自动点击广告获利。攻击者在控制大量肉鸡之后,可以通过强行弹出广告,从广告主那里收获广告费,这也是流氓软件泛滥的原因之一。
6以“肉鸡”电脑为跳板(代理服务器),对其他电脑发起攻击。黑客的任何攻击行为都可能留下痕迹,为了更好地隐藏自己,必然要经过多次代理的跳转,肉鸡电脑充当了中介和替罪羊。
7控制着大批“肉鸡”电脑的攻击者,他们会为了某个目的,对目标主机进行DDoS攻击从而获取利益,而“肉鸡”电脑是发起DDoS攻击的马前卒。
此外,在攻击者的圈子里,“肉鸡”电脑可以像白菜一样被买卖。在黑色产业链的高端,那些庞大的“肉鸡”电脑群的控者还可以构筑一个木马帝国,进行各种牟利活动。总之,“肉鸡”电脑是攻击者致富的源泉。
小知识:何谓DDoS
DDoS被称为分布式拒绝服务。如果你手里有许多完全归你控制的“肉鸡”电脑,它们的带宽加起来就是你的流量,你用这些流量去访问你想要吃掉的目标电脑,只要你的流量大于它,别人就无法访问这台电脑,就相当于你把它干掉,这就叫DDoS。
NO2 不被入侵的秘密之验“鸡”篇
王小菜:不听不知道,一听吓一跳!哥们,你是如何断定我的电脑成“肉鸡”的?
李大虾:看在宵夜的分上,我就免费给你介绍如何检查自己的电脑是否成为他人的“肉鸡”的。
(一)快速检查自己的电脑是不是“肉鸡”
相信谁也不希望自己的电脑赤裸裸地暴露在黑客面前。实际上,对于电脑水平一般的人而言,检查电脑是否是“肉鸡”并不是一件非常困难的事情,如果你发现电脑有如下的现象中的一个或几个,那么你的电脑十有八九已成了别人的“肉鸡”了。
实战:7个不正常系统现象要当心
现象1:有时会突然发现你的鼠标不听使唤,在你不动鼠标的时候,鼠标也会移动,并且还会点击有关按钮进行操作。这种鼠标的移动轨迹和性能与光电鼠标自动漂移明显不同。
现象2:电脑运行过程中或者开机的时候,弹出莫名其妙的对话框或者IE窗口,但很快就自动关闭了。
现象3:QQ、MSN的登录或信息异常。你在登录QQ时,系统提示上一次登录的IP和你完全不相干,比如你家明明在北京,但是QQ却提醒你上一次登录地点在广州(见图1)。当你登录MSN时,可能有朋友给你发消息,问你刚发了什么,你却很清楚自己从未给这个朋友发过什么消息。
图1
现象4:登录网络游戏后,发现装备丢失或者上次下线时的位置不符,甚至用正确的密码无法登录。很显然,你没有登录这个游戏的时候,别人替你登录过。
现象5:正常上网时,突然感觉很慢,硬盘灯在闪烁,就好像在不停地COPY文件一样。这种情况很可能是攻击者在尝试COPY你的文件,在大量COPY文件时,磁盘的读写明显会增加,系统也会变慢。此时,你应该毫不犹豫地拔掉网线,立即检查你的系统进程是否异常。
现象6:当你准备使用摄像头时,系统提示该设备正在使用中,这说明攻击者正在盗用你的摄像头。由于摄像头开始工作时系统是不会提示的,而且工作状态是不可见的,所以当你不用摄像头时,建议把镜头给盖上(笔记本电脑屏幕内置的)或者直接拔下来(USB外置的),攻击者就无机可乘了。
现象7:在你没有使用任何网络资源时,你发现网卡灯在不停地闪烁。当你在“网络连接”中双击“本地连接”查看其状态时,你会发现窗口中的“小电脑”在不停地闪,而且“已发送”的数据量增加很快。
王小菜:原来如此。大虾你就是根据我鼠标的异常断定我是被抓“鸡”的吧?
李大虾:基本上是吧,不过也不尽然,有时候必须用一些辅助工具来帮忙。你自己的系统里面就有,只是你没有好好利用罢了。
(二)找几个验“鸡”的好帮手
通过一些表面的现象判断是否被入侵,可能不是十分准确,但是实际上,不管攻击者以何种方式来控制“肉鸡”电脑,该电脑肯定是要与外界发生联系,通过某些端口给向外面发送数据,因此我们可以借助一些常用的软件来观察网络活动情况。
实战1:用防火墙揪出占用流量的黑手
通常,网络防火墙(比如天网、金山网镖、C.O.M.O.D.O等)都会有网络检测的功能,我们可以通过这些软件来查看网络流量和可疑的网络连接来确认“肉鸡”。笔者以“金山网镖”为例。
首先在安装有“金山网镖”系统上,双击系统托盘区中的软件图标,打开程序主窗口。然后在“安全状态”页面下,检查“当前网络活动状态”中的程序有没有陌生的程序,接着观察一下当前网络流量情况,如果“发送流量”增加很快,那么你就要小心了(见图2)。最后切换到“网络状态”页面,仔细查看相关连接,如果发现自己根本没有使用的软件在连接到远程计算机,那么你的电脑很可能就是中标了(见图3)。
图2
图3
小提示:
金山网镖通常包含在金山毒霸套装中,下载地址为http://www.duba.net/download/index.shtml。
实战2:谁开的后门?用TCPView一看就明!
通常情况下,远程入侵者会预先在“肉鸡”电脑上打开一些特定的端口,而这些端口则随时等待控制端连接或是主动连接到远程服务器。当然,只要我们把这些端口关闭,就可以拒绝入侵者的控制了,怎样才能查看PC当前打开的端口呢?
TCPView是一个查看端口和线程的小工具(下载地址为http://www.newhua.com/soft/16626.htm),它可以详细地列出系统打开的端口。在TCPView界面的列表中,一个图标就对应一个已经打开的端口,而且详细地显示本地和远程的连接情况。如果某个端口发生数据交换,TCPView会以醒目的颜色来提示。
有些打开端口的程序名称可能会与系统内的程序名称一样,但是不是系统的程序,双击你认为可疑的端口打开其属性,看一下占用了该端口的程序的“路径”是不是有问题。如果有问题,点击“结束进程”干掉它(见图4)。
图4
小提示:
★netstat命令只有在安装了TCP/IP协议后才可以使用;
★“状态”下对应的“LISTENING”表示端口是开放的,等待连接但还没有被连接的;而“ESTABLISHED”表示已建立连接的端口;“TIME_WAIT”表示该端口曾经被访问过,但访问结束了。
小知识:何谓端口?
所谓端口“PORT”,即电脑与外界通讯交流的出入口,如果把电脑在互联网上的IP地址比作门牌号,那么端口就相当于房门,家人通过这些门和外界沟通、联系。在网络中,根据TCP/IP协议规定,电脑可以有256×256(65536)个端口,每一个端口就好像一扇门,PC就是通过这些特定的“门”来和外界交流。
李大虾:这是有专门的软件来帮忙,如果手头上没有这些工具,还可以利用系统中自带的工具来帮忙。
王小菜:哦?说来听听!
实战3:借助系统自带DOS命令查看开放的端口(Windows 2000/XP/Vista/7)
在Windows系统中自带了一个“netstat”命令,它可以显示当前的TCP/IP网络连接。在“运行”中输入“cmd”,在打开的命令窗口中输入“netstat –an”,回车后就会在窗口内显示了当前系统所打开的端口及连接情况(见图5)。
图5
在没有任何网络行为的情况下,所有端口的状态应该是“LISTENING”,如果你发现有大量的端口处于“ESTABLISHED”状态,那么你最好用杀毒软件或其他安全工具检查一下系统。
实战4:巧用“资源监视器”找出硬盘狂闪的罪魁祸首(Windows Vista/7)
相信所有的人在使用系统的过程中,都碰到过硬盘狂闪但又不知道谁在作怪的事情,是杀毒软件、QQ,还是攻击者在读写你的硬盘呢?实际上,在Windows Vista和Windows 7系统中有一个“资源监测器”的工具,利用它就可以轻松找出硬盘狂闪的根源。笔者以Windows 7的“资源监视器”为例。
首先按下“Crtl+Shift+Esc”打开“资源管理器”,在“性能”页面下单击“资源监测器”,然后在弹出的“资源监测器”窗口中就可以查看CPU、内存、磁盘以及网络等硬件的资源使用情况了。如果你想知道哪个程序在疯狂地读写硬盘,那么就切换到“磁盘”页面看看各个进程的读取和写入的速度就知道了。
通常,如果你没有操作电脑,那么除了“System”和杀毒软件进程外,其他程序是不会经常读写硬盘的(见图6),如果你发现有莫名其妙的进程在读写的硬盘,很可能就是病毒或木马。
图6
小技巧:用资源监测器轻松找出入侵者的遗留文件
如果在“资源监测器”的“硬盘”项目中有可疑的进程,你可以勾选该进程,在“硬盘活动”项下就可以看到该进程到底在读写哪些文件了。如果该进程是病毒或木马,你就可以轻松地找出它写入的文件并将其删除。
(三)判断进程是否安全
进程指的是程序在内存中的一次运行。当Windows系统启动后,就会有30~40个(XP稍微少一些,而Vista和Win7则多一些)的进程在内存中运行着,而这些进程可能包括系统服务、应用程序、恶意程序以及木马控制程序等。
实战1:用好系统管理进程的利器
察看系统正在运行的进程的方法有很多,使用Windows自带的“任务管理器”是最简单也是最方便的:同时按下“Ctrl+Shift+Esc”就可以打开“任务管理器”了。点击“进程”标签即可察看到正在运行的进程列表了(见图7)。
图7
一般情况下,进程是否有问题有两个基本原则:一是仔细检查进程的文件名;二是检查其路径。由于系统启动后,常见的进程是相对固定的,有问题的进程很多时候会伪装成系统进程(命名上与系统进程一样或者相似),这时通过文件路径来判断。
网络大补贴:
很多时候,判断进程是否有问题主要是靠经验,经验较少的朋友可以借助搜索引擎或者相关的知识库来判断,比如:
进程知识库:http://file.52hardware.com
系统进程信息库:http://www.dllexe.com
实战2:找个管理进程的好帮手
系统内置的“任务管理器”功能相对比较简单,有时候它可能发现不了一些刻意隐藏了的进程,因此我们可以使用一些专业的进程管理工具,例如Process Explorer(下载地址为http://www.onlinedown.net/soft/31805.htm#)。
Process Explorer可以将系统的进程分为系统进程和一般进程两个大类来管理,并且以不同的颜色进行区分。其中,而svchost.exe、winlogon.exe、spoolsv.exe等都属于系统进程,以“SYSTEM”、“LOCANL SERVIVE”以及“NETWORK SERVICE”等权限更高的用户来运行;“explorer.exe”下属的进程属于一般进程,以当前登录的用户名来运行,如果你在“explorer.exe”中发现了svchost.exe,那么不用说,肯定是病毒或木马冒充的。
小提示:
在默认状态下,Process Explorer并不显示进程的用户名,在软件界面中依次选择“查看→选择列”,在打开的对话框中勾选“用户名”(见图8),即可显示进程所属的用户名了。
图8
实战3:给进程和DLL文件来一个“安全认证”
由于可以通过进程来判断系统是否存在安全问题,因此有些杀毒软件特别针对此设计了“安全认证”功能,如果真在运行的进程有问题,软件会将其标示出来,甚至可以帮你将可疑的进程找出来。笔者以“金山毒霸2009”为例。
首先,打开“金山毒霸2009”主窗口,在“安全百宝箱”页面中单击“进程管理器”工具(或者在系统任务栏上右键,选择“金山毒霸进程管理器”)。进入“进程管理器”界面,它可以像系统的“任务管理器”一样查看当前系统进程的信息。
但与系统自带的管理器相比,“进程管理器”对所有的进程进行了“可信认证”,用户可以很方便简单地发现是否有可疑的进程存在。如果发现有问题的进程,单击“找出存在风险的进程”按钮,“进程管理器”就会帮你将可疑的进程找出来,勾选该进程后单击“结束进程”即可。
另外,进程通常都不是孤立的,会加载许多DLL文件,如果你想看看有没有可疑的DLL文件,勾选“显示加载到进程中的DLL”,如果可疑则在其上右键,在弹出菜单中选择“定位文件”即可找到该DLL文件(见图9),然后将其删除即可。
图9
NO3 不被入侵的秘密之防范篇
李大虾:哥们,说了这么多,口都干了,有没有可乐什么的喝喝?
王小菜:有!我去给你拿。
……
王小菜:给!刚才说的那些只是如何确诊是不是“肉鸡”,我想知道的重点是,怎么防止被别人抓“鸡”!
李大虾:实际上啊,防止水平不是很高的攻击者,避免电脑成为别人的“肉鸡”,其实是比较简单的,关键在于你有防范“肉鸡”的意识。
攻击者要登录远程的“肉鸡”电脑必须知道三个参数:远程电脑的IP、用户名和密码。因此,攻击者会想方设法地取得目标电脑的控制权,通常采取的手段有两种:一是让目标感染病毒或木马,二是端口或漏洞扫描。
相对而言,第一种手段比较简单,但攻击者比较被动;后一种手段则是主动出击。也就是说,电脑没有感染病毒,也可能成为“肉鸡”。因此,如果你不想让你的电脑变成别人的“肉鸡”,那么请记住以下几个要点:
要点1:安装杀毒软件,随时检查其是否正常工作,并及时更新病毒库。
不管是植入木马还是让目标感染病毒,这些是入侵者最为常用的入侵手段,因此杀毒软件必不可少的,也是最基本的防护要求。当然,杀毒软件并不是万能的,但是它可以降低成为“肉鸡”的风险。
事实上,入侵者是非常痛恨杀毒软件的,许多木马或病毒入侵成功后,首先会去破坏杀毒软件,因此你还得随时检查杀毒软件是否正常工作,能不能正常升级等。另外,病毒和木马是会随时更新换代的,及时更新病毒库也非常重要的。
要点提示:
杀毒软件有很多中选择,国内的比如金山毒霸和瑞星,国外的比如诺顿、卡巴斯基、McAfee等。但不管哪一款杀毒软件都不是万能的,都存在优点和缺点。如何选择杀毒软件,要根据自己的喜好,只要你觉得好用方便就是好软件。
要点2:安装网络防火墙,并确保其正常工作。
对于互联网用户来说,网络防火墙是隔离你和外界的一道关口,正确启用和配置防火墙,将会使你减少很多直接面对攻击的机会。在你的系统存在未修补的漏洞时,网络防火墙可能是你的电脑安全的唯一保护软件。
这里需要提醒的是,由于Windows自带的防火墙功能相对单一,在没有进行相关设置之前,它只能拦截由外到内(即由互联网到本机)的通讯,并不能很好地阻止由内向外的访问,大部分木马或控制软件都可以轻易地逃避Windows自带防火墙的监控,因此安装一款第三方防火墙是非常有必要的。
要点提示:
实际上,这里所指的都是软件防火墙,而不是硬件防火墙。软件防火墙有很多种,要根据网络环境的不同选择不同的产品。不过不管怎样,笔者不建议使用功能过于单一的产品,要尽量选择一些功能完善的防火墙。
所谓功能完善,指的是除了具备对外网和局域网的访问行为的监控能力外,可以对一些危险系统行为进行监控,比如修改系统设置、修改或删除系统文件、修改注册表等。另外,许多第三方的防火墙都会自动关闭无用端口,这样可以防止别人扫描。
实战1:斩断局域网无故断网的黑手
目前,带有ARP欺骗功能的木马或病毒很多,如果局域网中某台电脑中了这种病毒,只要该电脑开机就会向网关发出大量的数据包,从而导致局域网通讯堵塞而断网。对于这种欺骗攻击,普通的防火墙是没有办法监控的,这时候需要专门的ARP防火墙对网关进行保护。
具有APR防火墙的安全软件有很多,比如金山毒霸ARP防火墙、360安全卫士等。笔者以360安全卫士为例(下载地址:http://down.360safe.com/setup.exe),对网关进行防欺骗保护可以这样设置:
打开360安全卫士的主界面,点击“实时保护”,在打开的页面中将“实时保护”标签下的“ARP防火墙”设置为“开启”。重启系统后,360安全卫士的“ARP防火墙”功能就可以运行了。这时你打开“360实时保护”的“高级设置→ARP防火墙”选项页面,在“网关及DNS保护设置”中勾选“手动设置”,然后点击“添加保护网关IP/MAC”,在弹出的界面中点击“添加网关”,输入你所在的局域网的网关IP地址后,单击“自动获取”后,再单击“确定”就可以完成设置了(见图10)。
图10
网络大补贴:关于ARP欺骗和ARP病毒的知识,可以参考:
ARP百科:http://baike.baidu.com/view/32698.htm
ARP病毒百科:http://baike.baidu.com/view/726493.htm
实战2:用金山网镖关闭3389端口方便又简单
因为3389端口属于Windows远程桌面功能的初始端口,是为了方便远程管理自己的计算机而设定的,只要3389端口开启,它就可以为任何有管理密码的人提供服务。由于这个端口属于系统服务,绝大部分攻击者都喜欢在“肉鸡”打开这一端口。为防止别人利用3389端口,我们应该用防火墙把它屏蔽掉。
这里以“金山网镖2009为”例。打开金山网镖的主界面,依次选择“工具→综合设置”,在打开的窗口中切换到“高级”项,然后在右侧勾选“启用TCP/UPD端口过滤”后,单击“添加”,然后将3389端口的远程操作设置为禁止就可以了。主要注意的是,根据协议的不同,彻底禁止需要添加两条规则(见图11)。
图11
要点3:及时修补系统和软件漏洞,提升系统安全性。
在Windows系统中,常被利用漏洞有两种:一是Windows系统漏洞,二是应用软件漏洞。由于应用软件漏洞的利用会受到较多的环境制约,风险通常较低;而Windows系统漏洞只要没有打上补丁,该漏洞就会一直存在,因此风险比较高。
要点提示:
一般情况下,漏洞在被正式公布之前,通常会被黑客利用很长时间,这就是通常说的0day攻击。因此,为了让系统能及时发现有新的Windows补丁,最好将系统“自动更新”功能打开。
另外,虽然第三方应用软件漏洞的风险较低,但是一些常用工具软件,比如Flashplayer、Realplayer、Adobe Reader、Photoshop、WinRAR、QQ、MSN、千千静听等,也可能被攻击者利用,因此时常更新软件的版本也是非常有必要的。
实战3:打补丁、软件更新,用360一网打尽
有时候给系统打补丁或更新软件可能会存在一些障碍,特别是非正版系统用户,或者对软件更新关注不多的朋友。针对这些情况,现在已经有很多能将这些问题打包解决的软件了,非常简单方便,比如360安全卫士。
在安装了360安全卫士的系统上打开软件的主界面,点击“修复系统漏洞”标签进入“360漏洞修复”页面,软件会自动扫描系统是否存在漏洞,如果存在它将根据重要的等级分类,选择你需要修复的漏洞之后,单击页面下方的“修复选中漏洞”按钮即可。与系统自动更新相比,用360安全卫士修复系统漏洞有两个好处,那就是下载速度会比较快,而且支持断点续传。
另外,如果系统中常用的软件存在安全漏洞,“360漏洞修复”也可以扫描到,并且还集成了软件的升级功能。在“360安全卫士”的主界面中点击“装机必备”,在打开的“360软件管理”界面中切换到“软件升级”界面,选择你需要升级的软件,点击“升级”按钮,待下载完成后,点击下方的“安装”即可(见图12)。
图12
要点4:盗版系统存在风险,安装后要对其进行安全改造。
对于如蕃茄花园、雨木林风、龙卷风、深度技术等第三方个人或论坛改造的Windows XP,通常都是采用无人值守的方式来安装,虽然安装步骤非常简单,但是系统会存在一个致命的缺陷——管理员口令是空的,并且自动登录。也就是说,任何人都可以尝试用空口令登录你的系统。
要点提示:
既然知道了问题的所在,应对的方法就很简单了。依次打开“控制面板→用户账户”,在弹出的窗口中选中“Administrator”,点选“创建密码”后输入你的密码即可。建议密码使用字母和其他特殊字符的组合,长度不低于8位。
另外,如果你不希望攻击者知道的管理员账户,你还将“Administrator”改为其他账户,在开始菜单的“运行”中输入“lusrmgr.msc”打开“本地用户和组”,在右侧窗口的“Administrator”上右键,选择“重命名”并输入一个只有你自己才知道的账户(见图13)。
图13
要点5:一定要小心使用移动存储设备
现在,公众越来越频繁的使用移动存储设备(移动硬盘、U盘、数码存储卡)传递文件,于是移动存储设备就成为木马或病毒传播的重要通道,比如臭名昭著的“熊猫烧香”、“U盘寄生虫”和“磁碟机”等都是属于此类。
要点提示:
由于Windows系统在默认状态下会自动运行移动存储设备,只要插入有毒此类设备,病毒就可以感染该电脑上。对于这种被攻击的行为,最简单的做法是在插设备时后按住Shift键不松即可。不过,最好就是禁用系统的自动播放功能。以Vista系统为例,设置方法为:
依次点击“开始→运行”,输入“gpedit.msc”打开组策略编辑器,依次定位到“计算机配置→管理模板→Windows组建→自动播放策略”,在右侧窗口中双击“关闭自动播放”项目的属性并将其设置为“已启用”,并将下方的关闭对象设置为“所有驱动器”(见图14),确认设置并退出组策略编辑器,重启系统后就自动播放功能就关闭了。
图14
另外,你还可以下载一个专门的U盘病毒免疫器(下载地址http://www.onlinedown.net/soft/74892.htm),彻底将U盘病毒拒之门外。
要点6:网页挂马很流行,浏览器要做好防护!
浏览不安全的网站成为“肉鸡”很重要的原因之一。区分什么网站安全,什么网站不安全,这对普通用户来说,是很困难的。事实上,任何一个缺少安全管理的网站都可能被黑客入侵后植入木马或病毒。因此只要浏览网页,谁都无法避免网页没有木马或者病毒,我们能做的只有尽可能地降低这种风险。
要点提示:
降低浏览网页的风险有很多方法,比如安装并启用可以监控网页木马的杀毒软件(几乎所有的杀毒软件都具备此功能),尽可能使用具有拦截功能的第三方浏览器(比如遨游、GreenBrowser、世界之窗等),而且尽量避免浏览一些灰色站点,比如色情类网站、赌博类网站等。